روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ فناوریهای ما همین اواخر جلوی حملهای به یک شرکت کره جنوبی را گرفتند. شاید با خود بگویید این کار همیشگی فناوریهای ماست اما خدمتتان عارضیم که حین تحلیل ابزارهای مجرمان سایبری، متخصصین ما به دو آسیبپذیری روز صفر کاملاً ناشناخته برخوردند. آنها اولی را در موتور جاوا اسکریپت Internet Explorer 11 پیدا کردند؛ همین آسیبپذیری به مهاجمین قدرت داد تا از راه دور کد دلخواه اجرا کنند. دومی –که در سرویس سیستمعامل شناسایی شد- به مهاجمین اجازه داد تا مزایای بیشتری شامل حالشان شود و بتوانند اقدامات غیرقانونی انجام دهند. اکسپلویتهای مخصوص این آسیبپذیریها به صورت پشت سر هم عمل کرد. ابتدا قربانی اسیر اسکریپت آلوده شد –که حفرهای در Internet Explorer 11 مجوز اجرا شدنش بود- و بعد نقصی در سرویس سیستم قدرت این فرآیند آلوده را بیشتر کرد. در نتیجه، مهاجمین توانستند کنترل سیستم را به دست گیرند. هدفشان هم دستکاری کامپیوتر چندین کارمند و نفوذ به شبکه داخلی سازمان بود.
متخصصین ما نام این کمپین مخرب را Operation PowerFall گذاشتهاند. در حال حاضر محققین هیچ پیوند معقول و قابلتوجیهی بین این کمپین و عاملین شناختهشده پیدا نکردهاند. با این حال، آنها با در نظر گرفتن شباهت بین این اکسپلویتها دخالت DarkHotel را نیز رد نکردهاند. وقتی محققین ما مایکروسافت را در خصوص یافتههای خود مطلع کردند این شرکت گفت از پیش در مورد آسیبپذیری دوم (در سرویس سیستم) خبر داشته و حتی برایش پچ هم درست کرده بوده است. اما تا قبل از اطلاعرسانی ما در خصوص آسیبپذیری اول (در IE11) آنها این اکسپلویت را محتمل نمیدانستند.
چطور CVE-2020-1380 میتواند خطرناک باشد؟
اولین آسیبپذیری در آرشیو jscript9.dll وجود دارد که تمامی نسخههای Internet Explorer از زمان IE9 به طور پیشفرض استفادهاش میکنند. به بیانی دیگر، اکسپلویت برای این آسیبپذیری نسخههای مدرن این مرورگر را به خطر میاندازد. (شاید «مدرن» واژهی اشتباهی باشد با توجه به اینکه مایکروسافت بعد از انتشار اج با ویندوز، توسعهی Internet Explorer را متوقف کرد). اما در کنار اج، Internet Explorer همچنان به طور پیشفرض در جدیدترین ویندوز نصب میشود و هنوز هم جزء مهم این سیستمعامل محسوب میشود. حتی اگر تعمداً هم از IE استفاده نمیکنید و مرورگر پیشفرضتان نیست این بدین معنا نیست که سیستم شما نمیتواند از طریق یک اکسپلویت IE آلوده شود- برخی اپها هر از چند گاهی از آن استفاده میکنند. نمونهاش مایکروسافت آفیس: که از IE برای نمایش محتوای ویدیویی در داکیومنتها استفاده میکند. مجرمان سایبری همچنین میتوانند از طریق سایر آسیبپذیریها Internet Explorer را اکسپلویت کنند. CVE-2020-1380 به کلاسِ Use-After-Free تعلق دارد؛ این آسیبپذیری استفاده نادرست از حافظهی پویا را اکسپلویت میکند.
چطور ایمن بمانیم؟
مایکروسافت در تاریخ 9 ژوئن 2020 برای CVE-2020-0986 (در ویندوز کرنل) پچی منتشر کرد. آسیبپذیری دوم -CVE-2020-1380- در تاریخ 11 آگوست پچ شد. اگر مرتباً سیستمعاملتان را آپدیت میکند باید همین الانش هم در برابر حملات نوع Operation PowerFall محافظت شده باشند. با این حال، آسیبپذیریهای روز صفر همیشه سر و کلهشان پیدا میشود. برای حفظ امنیت شرکت خود باید از راهکاری استفاده کنید که به فناوریهای ضد اکسپلویت مجهز باشد؛ مانند Kaspersky Security for Business. یکی از اجرای آن –زیرسیستمِ Exploit Prevention– تلاشهایی برای اکسپلویت آسیبپذیریهای روز صفر شناسایی کرد. افزون بر این توصیه میکنیم از مرورگرهای مدرنی استفاده کنید که مرتباً آپدیتهای امنیتی دریافت میکنند.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
